干货 | 无视杀软使用远控横向小技巧

内网渗透 HACK_Learn
2022-07-19 10,947

无视杀软使用远控横向小技巧

作者:精灵@深信服深蓝实验室天威战队

一、 前言

在某些场景下,服务器装了多个杀软,之前遇到过卡巴加诺顿情况,非常恶心,不仅免杀难过,上线之后很多操作也受限,这时候可能比较好的解决方法就是使用自己研发的远控,那如果没有自己远控,市面上现成的远控软件是否能利用呢,于是就简单去找找市面上远控软件做了一下测试。

二、 要求

毕竟我们是用来做内网横向的,除了要能满足基本的远控办公外,远控软件来说我们也有一些其他要求:

  1. 1. 远控软件无需安装,注册,实名,拿来即用,快捷方便,匿名性较好。

  2. 2. 远控软件无需管理员权限也可使用,可以在提权困难或失败等某些特殊场景下快速横向。

  3. 3. 远控软件被控端是免杀的,因为远控软件基本上都有可信的数字证书签名,所以大部分的远控软件都是满足条件的。

  4. 4. 远控软件被控端体积尽可能小,方便上传部署。

  5. 5. 远控软件支持跨平台,满足一些特殊场景需要。

  6. 6. 远控软件在不出网纯内网的情况下也可以使用。

  7. 7. 远控软件开源的话更好,安全可控,还能自定义修改。

三、 GotoHTTP

3.1 介绍

带着以上要求首先筛选出了GotoHTTP[1],GotoHTTP基本可以满足我们大部分要求,另外它还有一些优点:

  • • B2C模式,无需安装控制端软件,有浏览器就可以远控。

  • • 流量走https协议,只要目标放行443端口出口就可以实现内网穿透。

  • • 在低带宽也可以使用,运行占用内存极低,控制时占用CPU仅为0%-3%。

  • • 被控端在类Linux系统上支持图形界面(GUI)和字符界面(CLI)。

不过GotoHTTP也有一些缺点,比如需要管理员权限运行,不支持纯内网使用,而且由于一些要实现特殊功能(网络唤醒远程主机)需要加载驱动,导致运行时360安全卫士会拦截这行为,其他杀软则不会拦截。

image-20220628150114244

3.2 使用

选择对应系统的版本,下载[2]解压执行即可。

image-20220628153852632

image-20220628154136279

管理员权限执行被控端会在当前目录生成配置文件GotoHTTP.ini,读取配置文件即可获取到电脑ID和控制码。

image-20220628160252866

打开GotoHTTP[3]官网,输入电脑ID和控制码即可开始远控。

image-20220628160749625

image-20220628160931360

3.3 退掉杀软

经测试远程操作可退出360安全卫士和火绒等杀软。

image-20220628170052235

image-20220628170320871

四、RustDesk

4.1 介绍

找了一圈下来发现了开源的RustDesk,看名字就知道时Rust语言编写的,所以也是跨平台的,RustDesk基本是满足了我们所有要求,如纯内网使用,普通权限即可使用,它不仅有GotoHTTP的优点,还是免费开源的,而且还支持自建服务器,简直业界良心。

image-20220628161549069

RustDesk目前也在积极开发中,后续如果能支持开机自启和托盘运行就更完美了,当然有能力也可以魔改,仓库地址是https://github.com/rustdesk/rustdesk。

4.2 互联网情况

RustDesk的控制端也支持Web访问,不过Web端刚出来,目前还是beta版,稳定性和流畅度差一些,建议使用PC端(控制端和被控端都是同一个应用),直接下载解压使用。

image-20220628173114691

RustDesk的配置目录在C:UserstestAppDataRoamingRustDeskconfig目录,其中ID和密码在RustDesk.toml文件里。

image-20220628173504819

不知道是不是RustDesk的bug还是出于安全考虑,如果是第一次在目标上运行RustDesk,RustDesk不会立即将密码保存到配置文件,而此时你把鼠标放在显示密码时则会保存到文件,遇到这种情况我们只需运行RustDesk,生成配置文件后结束RustDesk进程,然后修改配置文件里password为指定密码,再运行RustDesk即可。

image-20220628174615939

4.3 纯内网情况

有时候我们打点控了一台跳板机,在内网有一台服务器有webshell权限,但是这台机器又不出网,而且上面装了多个杀软,防护开到最严,你又不知道目标账号密码,这时候你许多操作都会受限,这种场景还是挺常见的。这时候如果能远程过去把杀软退掉可能是一种捷径,而RustDesk就支持在内网使用IP进行直连。

出于安全的考虑默认启动RustDesk,允许IP直接访问功能未开启。

image-20220628180049791

不过这个问题很好解决,与修改为指定密码操作类似,我们修改配置文件RustDesk2.toml,在options下添加一行direct-server = 'Y'重启RustDesk即可。

image-20220628220401784

RustDesk的实现IP直接访问功能监听的默认端口是21118,这个端口也是可以修改的,同样的步骤修改配置文件RustDesk2.toml,在options下添加一行direct-access-port = '8443',然后重启RustDesk即可。

注意:在一些场景下被控端防火墙需要放行入站方向的指定端口。

image-20220628181917204

在控制端输入目标地址(默认端口直接输入IP,自定义端口输入IP:PORT格式),然后输入密码即可远控。

image-20220628221932412

4.4 退掉杀软

经测试普通权限无需过UAC运行RustDesk,远程即可退掉火绒。

image-20220628223807774

而退掉360安全卫士需要管理员权限运行RustDesk。

image-20220628224615598

引用链接

[1] GotoHTTP: https://gotohttp.com/
[2] 下载: http://GotoHTTP.com/goto/download.12x
[3] GotoHTTP: https://gotohttp.com/




本文作者:HACK_Learn

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/183767.html

Tags:
点赞: 1 评论:0 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

HACK_Learn
文章数:142 积分: 323

微信公众号:HACK学习呀

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼